应急响应真的很重要！

本文参考：2014年电信网和互联网安全操作系统基线

目录

看一下win10的用户​编辑

用户自身

查看用户命令

提权命令

看一下管理员

打开本地安全策略

将密码必须符合复杂性要求进行开启​编辑

 参照基线效果

​编辑

 效果图：

开启日志​编辑

 用event进入日志

查看启动项

记得关闭自动播放​编辑

隐藏用户手法

一、用户后面加$可以躲到命令查 

二、改SID注册表隐藏法

---

看一下win10的用户

 这里的来宾用户肯定是不能登陆的

用户自身

这边他的所属组肯定是管理员组

查看用户命令

添加用户格式，比如你想添加hacker用户，net user hacker  'password' /add

                                        删除hacker用户，net user hacker  'password' /del

添加时cmd必须要用管理员运行。成功以后他的权限隶属于User

提权命令

看一下管理员

打开本地安全策略

位置：控制面板\所有控制面板项\管理工具  --->本地安全策略

命令打开方式：gpedit.msc

关闭系统

 注意：服务的路径，必须要有双引号引起来，否则会造成入侵危害。

比如服务的路径为 C:\Program Files\Common Files\System，他的工作流程是先去找C:\Program Files.exe ，找不到再去找C:\Program Files\Common Files.exe。

那么我们就可以在C:\Program Files里面上传一个Program Files.exe执行文件然后进行反向连接。

所以我们最好要在关闭系统那里只保留administrators

将我圈出来的删除掉。就搞定。 

将密码必须符合复杂性要求进行开启

 参照基线效果

 效果图：

开启日志

 用event进入日志

 注:id为4624登陆成功        4625登录失败

3389 是远程登录端口

远程连接命令：mstsc

查看启动项

命令: msconfig

记得关闭自动播放

  

 

隐藏用户手法

一、用户后面加$可以躲到命令查 

二、改SID注册表隐藏法

将F修改为管理员的F

 导出一下这两个表

将test用户删除

 

加载一下刚在导出的两个表

 

效果只有注册表里有。那我们试一下账户存在不。 

完全可以。